1. PROJETO DE SEGURANÇA DA INFORMAÇÃO DA �SECRETARIA DA FAZENDA - SP ESTUDO DE CASO
2. CONTEXTO PROGRAMA DE MODERNIZAÇÃO
Modernização de processos
Criação de uma infra-estrutura própria de TI;
Disponibilização de serviços Internet para os contribuintes;
AUTO GESTÃO DOS RECURSOS DE TI
Ampliação do quadro próprio
Contratação direta de consultores
Terceirização de atividades operacionais
3. NOVO CENÁRIO CRIAÇÃO DO DEPARTAMENTO DE TECNOLOGIA DA INFORMAÇÃO – DTI
Objetivo - organograma
EXPANSÃO ACELERADA DO NÚMERO DE USUÁRIOS INTERNOS
Caracterizando Sefaz
CRIAÇÃO DE UM PLANO DE GESTÃO DE TECNOLOGIA DA INFORMAÇÃO -PGTI
4. OBJETIVO Disponibilizar a infra-estrutura tecnológica e o conjunto de normas e procedimentos capazes de garantir a gestão unificada de tecnologia da informação.
6. CARACTERIZANDO A SEFAZ Funcionários - aproximadamente 9.000
Contribuintes ICMS - 1.000.000
Frota de Veículos - 13.000.000
7. Rede SEFAZNET
Abrangência estadual
Sede
16 Unidades Regionais
150 Postos de atendimento
Mais de 28.000 pontos de rede
Mais de 600 roteadores e 50 switches de grande porte
155 conexões WAN
Mais de 60 servidores Risc
Mais de 5600 estações ligadas à rede
9. EXPANSÃO DOS USUÁRIOS Contas de e-mail
Meia dúzia em janeiro de 1998
Mais de 7000 ao final de 2000.
Mais de 9900 ao final de 2002
10. Plano de Gestão de TI VISÃO INSTITUCIONAL
Sede, Regionais e Postos Fiscais
Relacionamento com a IntraGov
POLÍTICAS DE GESTÃO
Estrutura Organizacional de TI
Relacionamentos internos
Gestão única
POLÍTICAS DE TECNOLOGIA
Atualização tecnológica
Desenvolvimento de sistemas
Padronização
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Estrutura Organizacional de Gestão de SI extrapola os limites do DTI
11. PROJETO DE SEGURANÇA DA INFORMAÇÃO MODELO DE IMPLEMENTAÇÃO
ESTRUTURA ORGANIZACIONAL DO PROJETO
ESTRUTURA DA POLÍTICA DE SEGURANÇA
ADERÊNCIA A NORMAS INTERNACIONAIS
ARQUITETURA BEM DEFINIDA
CICLO DE VIDA COMPLETO
13. Modelo de Implementação
ANÁLISE DO AMBIENTE
Identificação Bens da Informação
Questionário Corporativo (Sistema, Infra-estrutura, Negócio)
Entrevista com Gestor da Informação
Diagnóstico de Segurança da Informação
Conscientização de Segurança
14. DEFINIÇÃO DA ESTRATÉGIA DE NORMATIZAÇÃO
Conscientização de Usuários
Elaboração da Estrutura do Manual de Segurança
Estrutura do Manual de SI
Histórico da Segurança
Papéis e Responsabilidades de SI
Política de Segurança
Diretrizes de Segurança
Procedimentos de Segurança
Ferramentas de Segurança
Programa de Conscientização
Glossário Modelo de Implementação
15. REVISÃO DA POLÍTICA DE SEGURANÇA
Conscientização de Segurança
Revisão da Política de SI
Validação da Política SI
Publicação da Política de SI Modelo de Implementação
16. DEFINIÇÃO DAS DIRETRIZES DE SEGURANÇA
Conscientização de Segurança
Definição de Regras de Segurança
Definição de Controles de Segurança
Definição dos Procedimentos e Fluxos
Validação das diretrizes
Publicação das diretrizes Modelo de Implementação
17. IMPLEMENTAÇÃO OPERACIONAL
Conscientização de Segurança
Definição de Procedimentos
Definição de Ferramentas
Implementação Operacional Modelo de Implementação
18.
MONITORAÇÃO E CONTROLE
Conscientização de Segurança
Controle de Implementação
Gerenciamento de Novas Soluções
Análise de Risco
Ações Corretivas
Gerenciamento dos Riscos
Controle das Práticas de Segurança Modelo de Implementação
21. ADERÊNCIA AS NORMAS INTERNACIONAIS A Metodologia utilizada foi baseada nas recomendações e referência da ABNT: NBR-ISO/IEC 17799.
23. ARQUITETURA BEM DEFINIDA Arquitetura baseada em Documentação Normativa, Recursos, Soluções Técnica, Capacitação e Conscientização
24. Ciclo de Vida Estruturado Diagnóstico do Ambiente
Planejamento do Trabalho
Revisão da Política, Documentação Normativa e Implementação dos Procedimentos
Controle das Práticas de Segurança
Monitoração
26. PERGUNTAS ?��Harumi@fazenda.sp.gov.br
